La truffa della finta app Immuni. Come evitare di pagare 300 euro in Bitcoin scaricando il file sbagliato

L’allarme è stato lanciato da Cert-AgID, la sezione di Agenzia per l’Italia Digitale che si occupa di sicurezza

FuckUnicorn. Non esattamente un nome invitante per un file da aprire mandato da un indirizzo mail che non rientra nei vostri contatti. Eppure il rischio c’è, soprattutto se il file viene rinominato come Immuni. Cert-AgID, struttura del governo collegata all’Agenzia per l’Italia Digitale, avverte che nelle ultime ore è in corso una campagna di hacking che punta a colpire gli utenti attraverso una finta app Immuni per monitorare l’epidemia di Coronavirus.

L’obiettivo è quello di approfittare delle notizie secondo cui l’app Immuni dovrebbe essere rilasciata oggi. Le voci che girano sono molte, ma una comunicazione ufficiale non è ancora stata diffusa. Sfruttando l’attenzione su questa app, un gruppo di cyber criminali, non ancora identificati, sta cercando di diffondere un virus in grado di criptare i file di un pc è chiedere il riscatto.

Come funziona la truffa

Il virus fa parte della categoria dei ransomware, i malware che hanno come obiettivo quello di bloccare le funzioni di un dispositivo e chiedere un riscatto agli utenti per ripristinarle. Uno degli esemplari più noti di questa specie WannaCry, il virus che nel maggio del 2017 ha infettato oltre 230mila computer in 150 Paesi diversi chiedendo un riscatto in 28 lingue differenti.

FuckUnicorn difficilmente raggiungerà questi numeri, anche perché si tratta di una caso tutto italiano. Si diffonde tramite una mail che invita ad andare su una versione falsa del sito del Fofi, la Federazione ordini dei farmacisti italiani. Invece di essere scritto con la i finale, fofi.it, il dominio indicato dalla mail termina con un “l”, fofl.it. Una volta arrivati su questa piattaforma si viene invitati a scaricare il file IMMUNI.exe.

Eseguito il download e avviato il file, il virus cifra tutti i file che trovano nel sistema in cui approda. Secondo l’analisi di Cert-AgID, modifica tutte le loro estensioni in .fuckunicornhtrhrtjrjy. A questo punto parte la richiesta di riscatto: 300 euro da pagare in Bitcoin. Dalle nostre verifiche sembra che la truffa sia già stata bloccata. Sul dominio fofl.it infatti non compare niente, solo un logo che indica che il portale è in manutenzione.

Open | Il logo che compare sul dominio fofl.it

Leggi anche: